阿里云漏洞库

漏洞描述

Microsoft Excel是美国微软（Microsoft）公司的一款Office套件中的电子表格处理软件。<br />

Microsoft Excel存在远程代码执行漏洞。该漏洞源于程序未对内存中的对象进行正确处理。攻击者可借助特制文件利用该漏洞在当前用户的上下文中执行任意代码，如当前用户使用管理权限登录，则攻击者可安装程序、查看、更改或删除数据以及创建具有完全用户权限的新帐户。以下产品及版本受到影响：Excel 2010 SP2、Excel 2013 SP1、Excel 2013 RT SP1、Excel 2016、Excel Web App 2010 SP2、Office Online Server、Office Web Apps 2013 SP1、Office Web Apps 2010 SP2、Office 2019、Office 2019 for Mac、Office 2016、Office 2016 for Mac、Office 2013 SP1、Office 2013 RT SP1、Office 2010 SP2、365 Apps for Enterprise、SharePoint Server 2010 SP2、Sharepoint Enterprise Server 2013 SP1版本。

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接： https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/2020-oct

参考链接
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2020-16929
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16929
https://www.zerodayinitiative.com/advisories/ZDI-20-1251/

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	microsoft	365_apps	-	-
	运行在以下环境
	应用	microsoft	excel	2010	-
	运行在以下环境
	应用	microsoft	excel	2013	-
	运行在以下环境
	应用	microsoft	excel	2016	-
	运行在以下环境
	应用	microsoft	excel_web_app	2010	-
	运行在以下环境
	应用	microsoft	office	2010	-
	运行在以下环境
	应用	microsoft	office	2013	-
	运行在以下环境
	应用	microsoft	office	2016	-
	运行在以下环境
	应用	microsoft	office	2019	-
	运行在以下环境
	应用	microsoft	office_online_server	1.0	-
	运行在以下环境
	应用	microsoft	office_web_apps	2010	-
	运行在以下环境
	应用	microsoft	office_web_apps	2013	-
	运行在以下环境
	应用	microsoft	sharepoint_enterprise_server	2013	-
	运行在以下环境
	应用	microsoft	sharepoint_server	2010	-

攻击路径

本地
攻击复杂度

低
权限要求

无
影响范围

未更改
用户交互

需要
可用性

高
保密性

高
完整性

高

CWE-ID	漏洞类型
CWE-416	释放后使用

Microsoft Excel 远程执行代码漏洞

漏洞描述

解决建议

参考链接

受影响软件情况